A exchange de criptomoedas Bybit foi hackeada anteriormente e roubou aproximadamente US$ 1,4 bilhão em Ethereum. O Ethereum roubado foi localizado na carteira de armazém da Bybit, que usava a plataforma de carteira com múltiplas assinaturas SafeWallet. Após o roubo, muitos pesquisadores da área de criptomoedas não conseguiram descobrir como o hacker realizou o ataque. Afinal, é improvável que o hacker também tenha controlado o gerenciador de carteira da Bybit para assinar.

No entanto, os resultados das últimas investigações mostram que o ataque não tem nada a ver com o Bybit. O problema de segurança ocorreu na carteira SafeWallet.Na verdade, o grupo de hackers norte-coreano Lazarus Group já conseguiu a intrusão, mas está apenas à espera de oportunidades para atacar apenas alvos de alto valor..

Os pesquisadores afirmam que este ataque visa especificamente o Bybit, um alvo de alto valor. Os hackers injetam scripts JavaScript maliciosos em app.safe.global, que é acessível aos assinantes da Bybit. Scripts maliciosos eficazes só são ativados quando certas condições são atendidas. Esta execução seletiva garante que o backdoor não será descoberto por usuários comuns.

Com base nas descobertas da máquina do assinante Bybit e no retrocesso através do site Time Machine (WaybackArchive) do Internet Archive, os pesquisadores encontraram scripts JavaScript maliciosos em cache e chegaram a uma forte conclusão: a conta ou API da Safe.Global no Amazon AWS S3 ou AWS Cloud Front pode ter vazado ou roubado.

Nesse caso, os hackers podem usar contas ou APIs para modificar o S3 ou o CloudFront (serviço CDN fornecido pela AWS) para adicionar scripts maliciosos. Os pesquisadores também descobriram código malicioso de carteira fria com múltiplas assinaturas Ethereum direcionado ao Bybit do bucket AWSS3 do SafeWallet.

SafeWallet emitiu um comunicado afirmando que uma investigação forense sobre o ataque lançado pelo LazarusGroup contra Bybit concluiu que o ataque foi implementado através de uma máquina de desenvolvedor SafeWallet comprometida (Em outras palavras, depois que a máquina do desenvolvedor do SafeWallet foi infectada com código malicioso, o hacker adicionou scripts JavaScript maliciosos por meio da conta do desenvolvedor com permissões.).

A plataforma de carteira agora reconstruiu e reconfigurou completamente toda a infraestrutura, enquanto rotaciona todas as credenciais, incluindo chaves de API, etc., para garantir que o vetor de ataque foi removido e não pode ser usado em ataques futuros.

Além disso, os pesquisadores não encontraram vulnerabilidades nos contratos inteligentes do SafeWallet ou no código-fonte de seu front-end e serviços. Eles só podem dizer que é realmente um plano perfeito para os hackers lançarem ataques contra os desenvolvedores do SafeWallet com antecedência.